RansomwareSchwachstellenHackerangriffe

Medusa-Ransomware: Wie eine Gruppe Schwachstellen im Rekordtempo ausnutzt

Medusa-Ransomware: Wie eine Gruppe Schwachstellen im Rekordtempo ausnutzt
Zusammenfassung

Die Medusa-Ransomware-Gruppe zählt zu den gefährlichsten Bedrohungen der Gegenwart und operiert mit bemerkenswert hohem Tempo. Seit Juni 2021 aktiv, hat die als Ransomware-as-a-Service (RaaS) strukturierte Gruppe bis Februar 2025 bereits über 300 Organisationen in kritischen Infrastruktursektoren angegriffen. Was Medusa besonders bedrohlich macht, ist die Geschwindigkeit ihrer Operationen: Von der erstmaligen Systemzugriff bis zur Datenverschlüsselung vergehen oft nur wenige Tage oder sogar Stunden. Die Gruppe nutzt sowohl Null-Day-Exploits als auch neu offengelegte Schwachstellen und setzt dabei auf Double-Extortion-Methoden, bei denen Daten gestohlen und verschlüsselt werden. Microsoft dokumentierte, dass Medusa innerhalb von 24 Stunden nach öffentlicher Bekanntmachung von Sicherheitslücken diese bereits zu Angriffswaffen umwandelt. Besonders betroffen sind Organisationen im Gesundheitswesen, der Bildung, Finanzdienstleistungen und professionelle Dienstleistungen in Australien, Großbritannien und den USA. Für deutsche Unternehmen und Behörden stellt Medusa eine erhebliche Gefahr dar, da die Gruppe ihre Angriffstaktiken international einsetzt und spezialisierte Infrastrukturen mit kritischen Abhängigkeiten gezielt ausnutzt. Die Fähigkeit zur schnellen Reaktion auf neue Sicherheitslücken macht eine proaktive Sicherheitsstrategie essentiell.

Die Arbeitsweise von Medusa unterscheidet sich erheblich von klassischen Ransomware-Angriffen. Statt langfristige Netzwerke zu infiltrieren, arbeitet Storm-1175 nach dem Prinzip der Geschwindigkeit. Innerhalb von 24 Stunden nach dem initialen Zugriff haben die Angreifer typischerweise bereits Web-Shells deployed, Daten exfiltriert und Ransomware ausgeführt. Dieses aggressive Tempo macht eine rechtzeitige Erkennung und Reaktion extrem schwierig.

Besonders bemerkenswert ist die Fähigkeit der Gruppe, neu entdeckte Schwachstellen blitzschnell zu weaponisieren. Microsoft dokumentierte Fälle, in denen Storm-1175 eine Lücke bereits einen Tag nach der öffentlichen Disclosure ausnutzte. Bei der SAP-NetWeaver-Schwachstelle geschah dies am 25. April 2025 – einen Tag nach dem Patch vom 24. April. In anderen Fällen exploitierten die Angreifer sogar Zero-Days bis zu sieben Tage vor der öffentlichen Disclosure.

Über die vergangenen drei Jahre hinweg haben die Operatoren mindestens 16 verschiedene Schwachstellen in bekannten Systemen ausgenutzt: Microsoft Exchange, Papercut, Ivanti Connect Secure, ConnectWise ScreenConnect, JetBrains TeamCity, SAP NetWeaver, GoAnywhere MFT und weitere. Besonders gefährlich: Die Gruppe kombiniert mehrere Sicherheitsmängel gezielt, um Remote Code Execution zu erreichen und sogar Linux-Systeme wie Oracle WebLogic ins Visier zu nehmen.

Nach dem Eindringen folgt ein etabliertes Schema. Die Angreifer etablieren Persistenzmechanismen, führen Aufklärung durch, bewegen sich lateral im Netzwerk und modifizieren Firewall-Einstellungen. Besonders perfide: Sie extrahieren Passwörter aus Veeam-Backup-Software, um auf verbundene Systeme zuzugreifen und die Ransomware weiter auszubreiten. Dabei nutzen sie legitime Tools wie PowerShell und RDP, um nicht aufzufallen.

Die Double-Extortion-Strategie erhöht den Druck auf Opfer erheblich. Nicht nur die Verschlüsselung lähmt Systeme – auch die Drohung, gestohlene Daten zu veröffentlichen, erzeugt enormen Druck. Für Krankenhäuser, Banken und Versicherer ist dies besonders kritisch, da sie ohnehin wenig Ausfalltoleranz haben.

Sicherheitsexperten betonen, dass kontinuierliche Überwachung und schnelle Patchmanagement-Prozesse entscheidend sind. Organisationen müssen ihre externen Systeme regelmäßig inventarisieren, Schwachstellen schnell schließen und ihre Netzwerk-Segmentierung verstärken. Besonders der Schutz von Backup-Systemen rückt angesichts der Veeam-Exploitation in den Fokus.

Ähnliche Artikel